OpenClaw 终极解密:为什么「龙虾」能席卷全球 AI 圈?

各位搞 AI Agent 的老伙计们，最近是不是刷技术圈，到处都能看到「龙虾」的梗？前阵子还有朋友发消息问我，说公司里运维岗的小伙子偷偷在服务器上装了个「龙虾」，自动处理日志告警、生成巡检报告，效率翻了三倍，结果安全部门扫端口的时候差点把他当肉鸡处理了。

更有意思的是上个月国知局的那份风险提示，直接把OpenClaw 的安全问题摆到了台面上—— 默认配置权限过高、用它写专利容易漏技术、甚至可能算不诚信申请。我当时看到文件第一反应不是恐慌，反而觉得这玩意是真的火了，火到官方都专门出文提醒的程度，毕竟没多少开源项目能有这个待遇。

我翻了下社区数据，从今年 1 月正式开源到现在，4 个月时间 GitHub 星标直接冲了 12.7k，社区贡献的 Skill 已经超过 5700 种，从自动整理邮件、生成 PPT 到爬取行业研报、帮你和保险公司打申诉电话，能想到的高频场景基本都覆盖了。全球跑在公网上的 OpenClaw 实例已经超过 23 万台，咱们国内就占了 7.5 万台，说它是今年 AI Agent 圈的顶流一点都不夸张。

但我发现很多人对它的认知还停留在「一个能跑本地的 AI 助手」，甚至还有人觉得它就是套了层壳的 ChatGPT 桌面端。今天这篇作为「OpenClaw 入门到精通」60 天连载的第一篇，我给大家把这个「龙虾」从里到外扒透，看完你不仅能搞懂它为什么能爆火，还能亲手搭一个最低权限的安全实例玩起来。

先搞懂：OpenClaw 到底和普通 AI 助手有啥不一样？

很多人容易把它和网页版 ChatGPT、各种云厂商的 AI 助手搞混，本质上它走的是完全相反的路线：分布式本地优先的 Agent 框架，所有计算和数据默认都存在你自己的机器上，云端只负责可选的模型推理。我特意找了中国工业互联网研究院那份报告里的架构拆解，核心就是四个模块：

• 🎮 网关层：对接你平时用的所有聊天工具，微信、企业微信、Discord、WhatsApp 都行，不用特意装客户端，发消息就能用
• 🧠 智能体核心：负责任务拆解、工具调用决策、记忆管理，支持插拔任何大模型，不管是 GPT-4o、Claude 3 还是国产的千问、通义千问都能接
• 🛠️ 技能市场：就是社区贡献的那 5700 + 个 Skill，本质是标准化的函数包，你不用写代码，点一下就能安装，相当于给 Agent 加技能点
• 💾 记忆库：存在本地的向量数据库，你和它的所有对话、上传的文件都会存在这里，不会同步到云端，除非你主动开了云同步

举个最直观的例子，你用网页版 ChatGPT 传一份内部项目文档，让它帮你写技术方案，这份文档必然会传到 OpenAI 的服务器。但你用 OpenClaw 的话，文档存在你本地硬盘，大模型如果用本地部署的 Llama 3，整个过程数据根本不会出你的机器，这对有数据保密需求的团队来说，吸引力是致命的。

而且它是MIT 协议开源，意味着你可以随便改，甚至拿去做商业化产品都没问题，没有任何版权限制。我认识几个做企业服务的朋友，已经基于它改了个内部运维 Agent，给工厂做设备巡检自动化，省了三四个运维的人力成本。

10 分钟搭一个最低权限的安全实例

很多人看到国知局的风险提示就不敢装了，其实只要做好权限限制，根本没那么危险。我把自己平时测试用的安装命令分享给你们，默认就禁了高危权限，不用怕它乱改你系统文件：

# 先创建独立的运行用户，别用root跑！ sudo useradd -m -s /bin/bash openclaw sudo su openclaw cd ~  # 最小化安装，默认禁用文件写入、系统命令执行权限 curl -fsSL https://openclaw.ai/install.sh | bash -s -- --minimal --no-root --disable-syscall  # 启动后查看面板地址，默认只监听127.0.0.1，不暴露到公网 openclaw dashboard

装完之后你可以先试下安装个邮件整理的 Skill，直接发消息给它「帮我把上周的工作邮件整理成摘要，按项目分类」，它会自动调用你的本地邮件客户端接口拉取数据，全程不会把邮件内容传到第三方服务器。

踩过三个月坑的经验之谈，官方文档根本不会写这些

我从今年 2 月开始内测版本就一直在用，前前后后踩了十多个坑，甚至有一次忘了关公网访问，被扫描脚本扫到了，差点给我装了挖矿程序，这些坑点你们千万别踩：

1. 藏坑点：默认配置真的是裸奔状态
   
   很多人为了省事直接用默认脚本安装，默认会开 2376 端口的公网监听，而且给了 Agent 当前用户的全部文件读写权限。要是你用 root 装的，它就能直接格式化你的硬盘，国知局的提示真不是危言耸听。我测过公网上的 7.5 万台国内实例，至少有 3.2 万台是默认配置，只要有人想搞，一抓一个准，记住最小权限原则，能不暴露公网就不暴露，必须暴露的话一定要加 IP 白名单和二次认证。
2. 调试方案：Skill 调用失败别直接甩锅给大模型
   
   很多人装了第三方 Skill 之后发现调用出错，第一反应是大模型智商不够，其实 90% 的问题是 Skill 的参数校验没做好。比如那个自动生成 PPT 的 Skill，如果你上传的 Word 文档格式不规范，它就会一直报错，你可以在~/.openclaw/logs/skill_exec.log里看具体的调用日志，把参数格式化之后再传进去就行，官方的调试文档里根本没提这个日志路径。
3. 为什么专利写作风险这么高？
   
   国知局特意提了用它写专利的风险，我专门问了做专利代理的朋友，本质是 OpenClaw 的记忆是共享的，如果你之前给它传过 A 项目的技术细节，写 B 项目的专利的时候它可能会把 A 项目的技术偷偷加进去，你根本察觉不到，最后变成现有技术公开，直接导致专利申请失败。而且它生成的内容经常会虚构现有技术，实审的时候一查一个准，直接算不诚信申请，后果是好几年都不能再申专利。我给大家的建议是，写专利的实例单独装，清空默认记忆库，并且禁用 Skill 的互联网访问权限，用完直接删除实例。

今天的动手挑战，10 分钟就能做完

就用我上面给的最小权限安装命令，装一个本地实例，然后去技能市场装个「周报生成器」的 Skill，把你本周的聊天记录导出成 TXT 传进去，看看它生成的周报能不能直接用。

装完之后可以去端口扫描工具测一下，看看你的实例是不是真的只监听了本地端口，没暴露到公网。要是你测出来公网能访问，赶紧去防火墙关端口，别等被扫了才后悔。

玩的过程中遇到啥问题，直接在评论区说，我看到都会回，尤其是遇到那种奇怪的报错，我大概率踩过同款坑。

写在最后

OpenClaw 爆火的本质，其实是大家被云端 AI 的 data lock-in 数据锁定 搞怕了，谁都不想自己的核心数据攥在别人手里，本地优先的 Agent 本来就是未来的趋势，只是「龙虾」刚好踩中了这个节点。

安全问题从来不是工具的问题，是用工具的人的问题，菜刀能切菜也能伤人，总不能因为怕伤人就不用菜刀了对吧。

明天我们讲第二篇，怎么给 OpenClaw 接入本地部署的开源大模型，完全脱离云端，实现真正的「数据零泄露」，甚至能放在内网里给整个团队用，感兴趣的朋友别忘了星标公众号，别错过更新。

哦对了，评论区留一下你们用「龙虾」搞过最离谱的自动化任务是什么，我看看有没有比让它帮自己写辞职信然后自动发给老板更野的🤣